Názory k článku
Unikly privátní klíče pro tvorbu očkovacích certifikátů, koluje certifikát Adolfa Hitlera

Slušelo by se dodat že česká čTečka ty QR kódy odmítá jako neplatné.

To musí být ale novinka, díval jsem se na to dřív a v české Čtečce fungoval. Zřejmě už stihli autoři zareagovat a uniklé klíče revokovali.

Ještě dnes ráno před aktualizací mi to hlásilo platný certifikát, po aktualizaci už hlásí zršený.
https://imgur.com/a/Pg5U6G5

Slovensky OverPass ukazuje ze je stale platny :D

https://github.com/denysvitali/covid-cert-analysis/blob/master/RESULTS.md

Signed By: CN=DSC_FR_023,OU=180035024,O=CNAM,C=FR (issued by: CN=CSCA-FRANCE,O=Gouv,C=FR)
Signed By: CN=Poland Vaccination DGC Service 1,OU=eHealth Centre,O=Ministry of Health,C=PL (issued by: CN=Poland DGC RootCSCA 1,O=Ministry of Health,C=PL)
Signed By: CN=zdravstvo.gov.mk,OU=Ministry of Health,O=Ministry of Health,L=Skopje,ST=North Macedonia,C=MK (issued by: CN=zdravstvo.gov.mk,O=Ministry of Health,L=Skopje,ST=North Macedonia,C=MK,1.2.840.113549.1.9.1=#0c18636f6e74616374407a647261767374766f2e676f762e6d6b)
Signed By: CN=DSC_FR_023,OU=180035024,O=CNAM,C=FR (issued by: CN=CSCA-FRANCE,O=Gouv,C=FR)
Signed By: SERIALNUMBER=CSM026460026,CN=Robert Koch-Institut,OU=Elektronischer Impfnachweis,O=Robert Koch-Institut,POSTALCODE=13353,STREET=Nordufer 20,L=Berlin,ST=Berlin,C=DE,2.5.4.97=#131044543a44452d33303233353331343435 (issued by: CN=D-TRUST CA 2-2 2019,O=D-Trust GmbH,C=DE,2.5.4.97=#130e4e545244452d4852423734333436)

To vypadá, že je celá ta šaškárna skutečně kvalitně zabezpečená.

pokud k tomu přistupují jako v jiných případech, kdy si úředníci posílají certifikáty v emailu (ano šifrovaný zip v heslem v textu), ani se nedivím. Vždyť občas je problém i v komerčních společnostech si bezpečně sdělit citlivé údaje, chybí na to připravené systémy, pak často privátní klíče lezí na serveru chráněné pouze POSIX právy, v horším případě ještě s využitím nějakého ssh/gpg agenta. KMS systémy i v bankách nejsou samozřejmost, HSM se ani doteď moc často neobjevuje jako požadavek v státních zakázkách.

Tiez som bol svedkom ano niektore firmy mali privatne kluce len tak na linuxovom serveri, vsak je to bezpecne lebo je to linux... Security by obscurity ako vysite.

My jsme pro tyto účely používali v mejlech PGP

Podla vsetkeho nedoslo k uniku samotnych klucov, certifikaty boli pravdepodobne vygenerovane cez nezabezpecene servery volne pristupne z internetu. Viac informacii tu.

Ano, suhlasim, vyzera to tak, ze API na tvorbu bolo volne dostupne.
https://twitter.com/Xiloeee/status/1453493664806735876

Všechny QR kódy v tom vláknu mi čTečka (verze 1.3.1) vyhodnotí jako "Neplatný certifikát".

1. Zaujal mě fakt, že pokud budou uniklé klíče zneplatněny, budou tím pádem zneplatněny i skutečné certifikaty skutečně naočkovaných lidí, těmito klíči podepsané :-)

2. Další zajímavost, píše se tu, že testovací centra a zdravotnické úřady mají své vlastní privátní klíče. Ty jsou uloženy v centrální databázi každého státu,
To znamená, že nějaký subjekt má klíč, kterým fyzicky disponuje jiný subjekt ? není tato skutečnost zásadně proti PKI ? nelze toho kdo to navrhoval na základě tohoto oficiálně prohlásit za idiota ?

Long story short: neunikly privatni klice, ale "jenom" pristup k API makedonskych serveru, protoze docker vytvoril instance s port forwardem na vsech portech, vcetne te aplikace, kde lze zadat cokoliv i random zemi a vytvori to platny certifikat (s trochou snahy je slo najit nez to opravili).

cTecka ma jednoduchy blacklist, ktery je uz stejne dlouhy:

https://dgcverify.mzcr.cz/api/v1/verify/NactiRevokovaneCertifikaty

(revocation API neni jednotne napric zemnemi a neni pres jednotlive zeme synchronizovano)